《集团公司网络安全解决计划方案.doc》由会员分享,可在线阅读,更多相关《集团公司网络安全解决计划方案.doc(20页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、集团公司网络安全设计方案2一.方案概述集团公司网络规模日益扩大,下属几十家分公司都将与集团实现联网,使用一套集团财务系统。根据 IT 规划要求,为有效保障公司网络畅通、数据安全,集团公司需要构建一个严密的整体的网络安全系统。 该系统包括四个主要方面:(一)设计网络系统优化方案及建立网络系统持续完善机制(二)建立智能化数据容灾系统(三)建立高效全面的病毒预防系统(四)建立科学合理的管理制度体系二.方案实现目标通过该系统的建设实现以下功能目标 (1) 实现集团对网络病毒的统一防护, 让网络管理人员可以清晰的管理到内部病毒防护系统的部署情况, 有病毒爆发时可以及时确定病毒发作范围, 并可以直接进行隐
2、 患清除工作,集团可以统一部署和执行安全防护策略.(2) 对集团机房较为重要的服务器和应用系统进行容灾备份, 当服务器故障时, 可以有效的快速启动替代系统, 并在故障清除后快速恢复系统和数据.(3) 对于集团数据库系统, 因关联使用的用户多且分布各不同下属单位, 应使用有效措施来防范数据库的使用安全, 防范数据被恶意使用或篡改,.(4) 因集团机房部署不同部门和下属公司的服务器, 各部门都需要运维自己的服务器, 有必要对服务器的使用进行安全审计和使用记录, 防范来自使用服务器带来的风险.三.安全产品推荐选型项目 品牌 型号 实现目标企业版防病毒 趋势 OfficeScan全网病毒统一防护和统一
3、安全管理服务器容灾备份 NOVELLPlateSpin Forge对服务器进行实时灾备,服务器故障时实现紧急替代和快速恢复数据库审计 安恒 DAS-AC1000对数据库使用进行安全审计,防护对数据库的恶意侵入和篡改保垒机 齐治 SHTERM-L4对使用机房内服务器的人员的使用行为进行规范管理和审计记录,防范服务器内部使用风险.3四.方案简述(1)网络拓扑图(2)信息安全设备物理分布图4(3)产品说明:1、IT 运维堡垒机接在核心交换机上,通过细粒度的安全管控策略,保证企业的服务器、网络设备、数据库、安全设备等安全可靠运行,降低人为安全风险,避免安全损失,保障企业效益;管理员可直观方便的监控各种
4、访问行为,能够及时发现违规操作、权限滥用等。2、数据库审计设备接在核心交换机上,全面记录数据库访问行为,识别越权操作等违规行为,并完成追踪溯源;检测数据库配置弱点、发现 SQL 注入等漏洞、提供解决建议;为数据库安全管理与性能优化提供决策依据;提供符合法律法规的报告,满足等级保护、企业内控等审计要求。3、OfficeSan 服务器接入核心交换机上,OfficeScan 可以根据大同公司的自己的要求进行策略部署,并针对未来而设计的弹性架构,可让您透过插件来自定义您的威胁防护与数据保护。4、Forge 设备部署在核心交换机,可同时对 25 台服务器做备份,一旦一台或多台生产服务器出现故障,该应用即
5、刻在 Forge 上运行接管业务。5五.方案子系统介绍1、 趋势科技网络版防病毒软件 OfficeScan趋势科技的 OfficeScan 网络版防病毒产品将管理,配置与部署的功能集中到服务器端(Officescan 服务器端) 。透过 Officescan 服务器端的 Web 接口的管理主控台,管理人员可以从网络上的任何地点,来管理和设置全公司的防毒策略(每一台计算机都安装了Officescan 客户端防病毒软件) ,并且也能迅速响应各种紧急事件。综合性的防护能力:免受病毒,特洛伊,蠕虫和现在的间谍软件的攻击,同时具备防火墙和入侵检测的能力;支持防护策略的自动/手动配置:有效控制病毒扩散(通
6、过主控服务器,在设定的时间段内,关闭所有客户机的共享文件,特定端口,保护文件或文件夹不被病毒修改) ;防火墙策略应用程序的备用服务器:客户计算机可能无法连接到防毒墙网络版服务器,但仍可连接到您指定的备用防毒墙网络版服务器上,以提供防火墙策略更新。集成专杀工具:病毒专杀工具和客户端防病毒软件无缝集成,专杀工具的扫描引擎和病毒码可以自动更新,完全摆脱传统防病毒软件需要独立使用专杀工具,并且每一个病毒都有特定的专杀工具,造成数量巨大;防御间谍软件和其他类型的灰色软件:防毒墙网络版可以帮助保护您的计算机远离被趋势科技视为灰色软件的各种威胁和损害,包括众所周知的类型 间谍软件;临界间谍软件/灰色软件例外
7、列表:防毒墙网络版可能将特定类型的文件识别为灰色软件,尽管您计算机上合法的应用程序可能需要使用这些文件。为防止防毒墙网络版将这些文件识别为灰色软件,可以配置应用于所有扫描类型的临界间谍软件/灰色软件例外列表。实时更新病毒日志:方便而简单的配置管理与实时报告;自动更新:先进的自动更新技术,无须管理员与用户的手动操作,不需要重新启动;支持客户端自行上互联网更新防毒组件;灵活的更新代理设置:通过设定网络中任意计算机做为病毒码更新源,将其它计算机指定到该计算机更新,以节省网络带宽。对低带宽网络环境特别有效;检测为安装防病毒软件的计算机:支持网段扫描侦测尚未安装 OfficeScan 的用户机;6强大的
8、数据库管理:支持将纪录数据导入 SQL 服务器方便数据分析与管理;灵活的客户端迁移:支持在客户端可以在不同的 OfficeScan 服务器中转移,不需重新安装;定位病毒源头病毒:客户机的排行榜功能,帮助网管了解毒源、善后处理、报告领导;支持多种 Web Server: IIS 和 Apache;部署建议:Officescan 可以针对 Windows 全系列防范病毒。趋势科技网络版防病毒软件的组织架构为:通过一台 Officescan 服务器去远程的控制和管理局域网内部,甚至广域网中Officescan 客户端。Officescan 客户端可以通过多种方式安装到计算机上:1、 通过网页远程自动
9、下载安装;2、 通过制作 Officescan 客户端安装包安装;3、 通过共享文件夹方式安装4、 通过集成 Windows 域自动安装客户端5、 通过微软 SMS 安装;如此部署 OfficeScan 就可以为网络内部计算机提供综合性的安全防护,免受病毒,特洛伊,蠕虫和现在的间谍软件的攻击,以及具备防火墙和入侵检测的能力。从根本上对应用层的病毒文件以及网络层的病毒数据包进行防护,同时防护各种对于计算机的攻击。2、 Novell PlateSpin Forge 服务器灾备保护产品方案Novell PlateSpin Forge是一个整合式的系统恢复硬件设备,通过采用内置虚拟化技术来保护实际物理
10、和虚拟服务器工作负载。在生产服务器停止运转或发生故障时,工作负载可在PlateSpin Forge恢复环境中快速通电,并继续正常运行,直到生产环境恢复。采用单台PlateSpin Forge 设备可保护和恢复最多达25个物理和虚拟工作负载。使用PlateSpin Forge,客户可以保护多个地理位置分散的多达25台服务器的工作负载,并在服务器出现故障时予以快速恢复。通过使用PlateSpin Forge综合恢复平台,客户能够更好地保护更多的工作负载,但无需支付高昂的复制硬件或冗余操作系统授权许可费用。PlateSpin Forge不需要通过成本高昂的一对一硬件和软件冗余保护数据中心资产,从而实
11、现了革命性的业务持续性。生产服务器可备份到虚拟机,而成本只是传统灾难恢复解决方7案的一部分,而且可以更快、更轻松地实现恢复。 除了标准文件类复制外,高速块级复制允许企业客户保护高级业务工作负载(如电子邮件和数据库服务器)。有效增加传输可确保仅源数据文件变化被复制到PlateSpin Forge远程恢复环境中,从而减少了广域网的使用并使各大组织能够在最少数据丢失情况下有效满足数据恢复点目标(RPO)。快速容易的故障恢复计划和过程的完整性使用PlateSpin Forge可实现对服务器工作负载以多达28个历史恢复点的方式进行保护备份,只需单击测试恢复按钮,即可快速容易地测试备份和恢复计划的完整性。
12、在进行故障恢复测试时,可选择保护备份的任一快照并且在一个隔离的专用内部网中启动运行。这允许用户快速确认恢复计划和相关业务服务,而又不至于中断生产服务器工作负载。一旦确认故障恢复计划,PlateSpin Forge将屏弃测试过程中在恢复工作负载快照上发生的任何变化,并恢复工作负载复制。基于WEB浏览器方式的多种监控、报告和操作报警进行控制。PlateSpin Forg 提供基于 Web 方式的单一管理界面,便于 IT 运营专家随时查看其保护计8划状况并管理、监控和报告所有工作负载保护事宜。在生产服务器停机或发生故障时,PlateSpin Forge 将以电子邮件方式自动警示管理员。通过个人计算机
13、、Blackberry 或其它移动装置点击电子邮件内的链接可执行上下文相操作。多种报告功能可使管理员和业主清楚地掌握保护资源的使用方式。用户可报告实际对抗目标恢复时间和恢复点目标、复制窗口和数据传输速率。保护日志显示成功的复制和恢复测试,从而提供了满足定制服务级协议或合规性所需的审计能力。PlateSpin Forge 提供一个始终存在仪表盘,可让 IT 操作专家随时观察其保护计划状况,并管理、监控和报告所有的工作负载保护和恢复事宜9一键故障恢复和灵活的灾难恢复方案单击运行恢复工作负载,可根据需要将其恢复到相同或不同的硬件。在生产服务器停机或发生故障时,通过单击故障恢复可快速恢复受保护的工作负
14、载仅重新连接会话,并且 PlateSpin Forge将验收工作负载。当生产环境恢复时,该工作负载可继续在PlateSpin Forge恢复设备上正常运行。一旦生产环境联机,PlateSpin Forge还可提供灵活的工作负载恢复方案。如果原始生产服务器修好并且硬件无损坏,用户可通过一个虚拟到物理(V2P)工作负载转移操作将工作负载从虚拟恢复环境移回到原始硬件服务器。如果原始硬件不能修好,用户可通过一个V2P 转移操作将工作负载转移到新的硬件服务器上。还可轻易将工作负载移到生产虚拟环境中。灵活的硬件独立式恢复意味着新硬件可以为不同品牌、型号或配置。103、 齐治运维操作管理系统通过 Shter
15、m 的部署,可以有效的解决运维部门当前运维过程中存在的各种问题: 以堡垒方式,形成统一的运维入口,实现运维操作的唯一路径; 引入主从帐号管理概念,使用户认证与系统授权分开,从而有效解决系统帐号共享使用,带来的身份不唯一的问题; 基于用户、设备、系统帐号、协议类型、登录规则的严格访问控制设置,有效规避了非授权访问带来的问题; 密码托管和自动改密,使得密码管理规范能有效落地,避免了因人员的流动还会导致设备密码存在外泄的风险; 能完整记录运维人员的操作过程,当系统因人为操作导致故障的时候,能够快速定位故障原因和责任人; 可以满足等保、SOX、ISO270001、BS7799 等安全规范对运维操作管理的要求。(1)总设计思路因为操作的风险来源于各个方面,所以必须要从能够影响到操作的各个层面去降低风险。齐治运维操作管理系统(Shterm)采用操作代理(网关)方式实现集中管理,对身份、访问、审计、自动化操作等统一进行有效管理,真正帮助用户最小化运维操作风险。集中管理是前提:只有集中以后才能够实现统一管理,只有集中管理才能
限制150内